今日頭條
官方微信
官方抖音
資訊頻道據(jù)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心信息:
Positive Technologies 公司的研究員在工業(yè)網(wǎng)絡(luò)解決方案提供商摩莎 (Moxa) 制造的 EDS 和 IKS 交換機(jī)中發(fā)現(xiàn)了十多個(gè)漏洞,其中包含一個(gè)“嚴(yán)重”等級(jí)的漏洞。該供應(yīng)商已經(jīng)發(fā)布相關(guān)補(bǔ)丁和緩解措施。
Positive Technologies 公司在 EDS-405A、EDS-408A和 EDS-510A 中發(fā)現(xiàn)了5個(gè)安全漏洞。問題包括以明文形式存儲(chǔ)密碼、使用可預(yù)測(cè)的會(huì)話 ID、未對(duì)敏感數(shù)據(jù)加密、缺乏阻止暴力攻擊的機(jī)制以及可被用于發(fā)動(dòng) DoS 攻擊的缺陷。
摩莎 IKS-G6824A 系列的交換機(jī)中包含7種類型的漏洞,包括一個(gè)可導(dǎo)致遠(yuǎn)程代碼執(zhí)行的緩沖區(qū)溢出漏洞、以明文形式存儲(chǔ)密碼、多個(gè)跨站點(diǎn)腳本問題、未能處理某種數(shù)據(jù)包類型、內(nèi)存泄漏問題、對(duì) web 接口的訪問控制不當(dāng)以及多個(gè)跨站點(diǎn)請(qǐng)求偽造漏洞。
研究人員指出,“最嚴(yán)重的一個(gè)漏洞涉及 web 接口中的一個(gè)緩沖區(qū)溢出,可在無需登錄的情況下執(zhí)行攻擊。利用該漏洞可導(dǎo)致拒絕服務(wù)和部分遠(yuǎn)程代碼執(zhí)行。攻擊者還可利用其它漏洞導(dǎo)致交換機(jī)永久性拒絕服務(wù)、讀取設(shè)備內(nèi)存、以合法用戶的身份在設(shè)備 web 接口執(zhí)行各種動(dòng)作。”
這些安全漏洞影響運(yùn)行3.8或更低版本固件的 EDS 交換機(jī)以及運(yùn)行版本 4.5 或更低版本固件的 IKS 交換機(jī)。很多缺陷已在上個(gè)月得到修復(fù)。余下的漏洞問題可通過將設(shè)備配置為僅使用 HTTPS (EDS 交換機(jī))和使用 SNMP、Telnet 或 CLI 控制臺(tái)訪問而非使用 HTTP web 控制臺(tái)(IKS 交換機(jī))的形式得以緩解。
研究人員表示,“易遭攻擊的交換機(jī)可能意味著整個(gè)工業(yè)網(wǎng)絡(luò)遭攻陷。如果 ICS 組件是身體的組成部分,那么你可以將網(wǎng)絡(luò)設(shè)備看做連接它們的動(dòng)脈。因此破壞網(wǎng)絡(luò)交互能夠降級(jí)或者完全阻止 ICS 運(yùn)營(yíng)。”
INSComment引石安評(píng):
(一)我國(guó)工控系統(tǒng)的現(xiàn)狀
我國(guó)工控系統(tǒng),尤其是在一些重要的工控系統(tǒng),95%以上都是采用國(guó)外的核心硬件PLC,其相配套的工業(yè)控制軟件,也是主動(dòng)國(guó)外產(chǎn)品。國(guó)內(nèi)廠商的工業(yè)控制產(chǎn)品大都缺失核心技術(shù),如果沒有國(guó)外廠商的支持和配合,工控的安全技術(shù)措施很難在現(xiàn)有的工控系統(tǒng)硬件和軟件上實(shí)施,自主的工控系統(tǒng)信息安全防御無處下手。
工業(yè)安全將是和平年代的國(guó)家戰(zhàn)略基礎(chǔ)!習(xí)主席提出“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全,沒有信息化就沒有現(xiàn)代化。”將安全上升到國(guó)家戰(zhàn)略層面。同時(shí)指出:“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點(diǎn)攻擊的目標(biāo)!”隨著國(guó)家對(duì)安全的重視,國(guó)家制訂了安全戰(zhàn)略規(guī)劃,推出了自主的國(guó)家密碼算法,鼓勵(lì)使用自主的專利技術(shù),讓工業(yè)控制系統(tǒng)的安全逐步走到國(guó)人自主的道路上來。
當(dāng)下,我國(guó)工控網(wǎng)絡(luò)安全雖然做了一些工作,但是基本上是把信息系統(tǒng)的安全措施平移到工業(yè)控制系統(tǒng)上來,主要以防火墻網(wǎng)關(guān),網(wǎng)閘為主。從結(jié)構(gòu)上來看,圍繞工控核心系統(tǒng)在外圍采取了包裹防御的策略,形成了分域防護(hù)、縱深防御的技術(shù)路線。但工控核心系統(tǒng)的安全問題仍未被觸及。實(shí)際情況是,分域防護(hù)實(shí)現(xiàn)了工控網(wǎng)絡(luò)的區(qū)域間訪問控制,但縱深防御遠(yuǎn)未落實(shí)。
(二)我國(guó)工控系統(tǒng)安全面臨的挑戰(zhàn)
隨著人工智能技術(shù)的發(fā)展,工業(yè)物聯(lián)網(wǎng)將成為今后工業(yè)發(fā)展的重點(diǎn),2019年兩會(huì)期間,國(guó)家指出了工業(yè)物聯(lián)網(wǎng)的發(fā)展方向,國(guó)家重點(diǎn)企業(yè)都提出了各自的工業(yè)物聯(lián)網(wǎng)發(fā)展規(guī)劃。
在今后的工業(yè)物聯(lián)網(wǎng)發(fā)展過程中,更多的工業(yè)設(shè)備被加入到工業(yè)物聯(lián)網(wǎng)中,大量設(shè)備的安全認(rèn)證、數(shù)據(jù)傳輸及運(yùn)行計(jì)算僅通過中心來實(shí)現(xiàn)顯然是不現(xiàn)實(shí)的,降低中心的壓力,更多計(jì)算將通過邊緣計(jì)算來實(shí)現(xiàn)。尤其對(duì)于處于工控安全核心區(qū)的防護(hù)是工業(yè)物聯(lián)網(wǎng)趨勢(shì)下,最需要首先應(yīng)對(duì)的問題。
工控應(yīng)用中,現(xiàn)有防火墻防御存在安全隱患:僅能抵御一般攻擊,但無法應(yīng)對(duì)體系化的攻擊風(fēng)險(xiǎn);同時(shí),工業(yè)核心區(qū)域外圍防護(hù)較弱,一旦突破,將面臨全面失守,缺乏防御縱深;目前,嚴(yán)重依賴現(xiàn)場(chǎng)人員能力的自學(xué)習(xí)+人工配置,不能保證白名單是白的,可能還包含了持久化工具,導(dǎo)致安全風(fēng)險(xiǎn)加大。
(三)基于標(biāo)識(shí)公鑰體系的工控安全防御架構(gòu)
摩莎 (Moxa) 工業(yè)交互機(jī)的安全漏洞事件反應(yīng)出工控行業(yè)產(chǎn)品對(duì)安全防御的嚴(yán)重缺失,隨著工業(yè)物聯(lián)網(wǎng)的發(fā)展。僅僅采用傳統(tǒng)的安全手段去進(jìn)行工業(yè)安全防御是不行的,無法對(duì)工控安全風(fēng)險(xiǎn)做出更好的防御。
傳統(tǒng)的證書體系需要引入第三方,會(huì)造成工控安全投入與實(shí)施的難度,在實(shí)際應(yīng)用中也會(huì)帶來不便。標(biāo)識(shí)公鑰體系的安全架構(gòu)使得工業(yè)物聯(lián)網(wǎng)應(yīng)用中不需要數(shù)字證書的參與,而是將物聯(lián)網(wǎng)接入設(shè)備的標(biāo)識(shí)作為演算并分發(fā)公/私鑰的因子,并且公鑰的計(jì)算過程同時(shí)也是公鑰真實(shí)性的證明過程,解決了公鑰的分發(fā)與證明問題,實(shí)現(xiàn)了工業(yè)物聯(lián)網(wǎng)的輕量且去中心化的公鑰安全體系。
標(biāo)識(shí)公鑰技術(shù)可以實(shí)現(xiàn)工業(yè)物聯(lián)網(wǎng)中設(shè)備之間的點(diǎn)對(duì)點(diǎn)認(rèn)證,完全滿足工業(yè)物聯(lián)網(wǎng)節(jié)點(diǎn)多、分布廣、低功耗等需求特點(diǎn),同時(shí)滿足對(duì)于證書認(rèn)證無法實(shí)現(xiàn)的物聯(lián)網(wǎng)NB-IoT、LoRa等窄帶通訊的安全認(rèn)證,解決了物聯(lián)網(wǎng)密鑰分發(fā)與管理的技術(shù)性難題,其安全架構(gòu)為物聯(lián)網(wǎng)的應(yīng)用建立了主動(dòng)安全防御體系。
(四)保障工控安全的新一代安全交換機(jī)產(chǎn)品展望
構(gòu)建可信白名單機(jī)制: 采用標(biāo)識(shí)公鑰數(shù)字簽名技術(shù)構(gòu)建可信的白名單,并對(duì)接入的設(shè)備提供有效的身份認(rèn)證機(jī)制,彌補(bǔ)自學(xué)習(xí)和人工設(shè)定的缺陷。
為工控核心區(qū)建立訪問控制:自主可控的工控安全交換機(jī),提供核心區(qū)的訪問控制能力,在工業(yè)現(xiàn)場(chǎng)實(shí)現(xiàn)基于可信白名單的工控核心區(qū)的訪問控制策略,建立縱深防御能力。
為企業(yè)/行業(yè)/國(guó)家檢測(cè)建立體系化評(píng)估規(guī)范:依托可信白名單與身份認(rèn)證機(jī)制和安全工控交換機(jī),為企業(yè)(能源/電力/交通等行業(yè))建立工控設(shè)備的安全認(rèn)證機(jī)制與數(shù)據(jù)安全保護(hù),形成工控安全領(lǐng)域的檢測(cè)與評(píng)估規(guī)范。
基于IPK標(biāo)識(shí)安全技術(shù),攜手工控安全上市企業(yè)推出新一代安全交換機(jī)產(chǎn)品,采用分布架構(gòu),實(shí)現(xiàn)邊緣計(jì)算,使用國(guó)家密碼算法,自主可控,為工控安全提供全新解決方案,拓展防御縱深,保護(hù)工控核心,構(gòu)筑工控安全新防線!
來源:引石安評(píng)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)